Windows平台

Android平台

调试器

程序名称 作者 说明
Ring3级调试工具
OllyDbg 1.x系列
OllyDbg 1.10   官方英文原版,1.x最终版本,官方链接:http://www.ollydbg.de/
Ring3环的调试器,将IDA与SoftICE结合起来的思想,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。
OllyICE 1.10   OllyDBG增强修改版。
由于OllyDBG 1.1官方不再更新,故一些爱好者对OllyDBG修改,以新增一些功能或修正一些bug,OllyICE就是其中的一个修改版,且己汉化,取名OllyICE只是便于区分,其实质还是OllyDBG。
OllyDbg 1.x插件   Olldbg 1.x的各种插件,非常重要,可以扩展OllyDbg的功能
OllyScript脚本   将一些网站收集的OllyScrip脚本转到此处,方便大家查询。
OSCEditor v1.0 beta 2 loveboom OSCEditor(OllyScript Editor)是专门为OllyDbg的插件ollyscript而写的脚本编辑器。 本程序利用动态显示相关命令,即时显示相关命令的语法和可供选择的格式化文本等方式,方便我们快速写出脚本。
OllyDbg 2.x系列
OllyDBG v2.01 Final   官方下载:http://www.ollydbg.de/version2.html
目前由于插件和功能还不太完善,因此没有1.1版本好用。
OllyDbg 2.x插件   OllyDbg 2.x插件收集
MDebug

MDebug v1.02

MDebug v1.04

MDebug 64 v1.04

accessd 大家一定厌倦了Windbg或Ollydbg吧?现在向大家提供一款调试器,你用他可以得到全新的调试体验。MyDebug是一个切实可用、功能丰富的调试器。
目前暂时只提供32位版本,bug报告或任何的建议、意见,请及时反馈。
最新版的下载地址:http://bbs.pediy.com/showthread.php?t=142680
plugin_SDK accessd MyDebug插件开发SDK 32/64,扩展MDebug功能。
x64dbg

x64dbg

  是一款跟 OllyDBG 界面差不多的开源调试器,基本上已经具备了所有的功能。目前问题较多,还需要完善。
http://x64dbg.com/
RORDbg
RORDbg V0.25 Kernel64 这是一个用虚拟机技术实现的简易Debugger,主要用于外壳分析和脱壳,目前只能跑exe文件的主线程,可以跑DLL的入口程序。 这个工具仅仅可以作为分析外壳辅助手段,因为是虚拟执行每条指令,所以,速度很慢。 http://bbs.pediy.com/showthread.php?s=&threadid=26629
Visual Basic程序调试器
SmartCheck 6.2   是针对 Visual Basic的主要的自动错误检测和调试工具。它能够自动检测和诊断 VB运行时的错误,并将一些表达不清楚的错误信息转换为确切的错误描述。它的 EventDebugging 特性为 Visual Basic开发小组和独立的开发人员解决最棘手的问题提供了简便的方法。枪可以保护人,当然也可以杀人,他同时是一个vb软件的杀手!
WKTVBDebugger 1.4e   动态破解VB P-code程序的工具
Ring0级调试工具
WinDbg
windbg_x86_6.11.1.404(汉化)
Windbg_x86_6.12.2.633
  WinDbg是微软发布的一套专门为Windows NT系列操作系统设计的调试器,它是内核调试器和用户态调试器的综合体,有着完善的功能并且具有图形界面。由于SoftICE不在更新,因此Vista以上系统的内核调试时,WinDbg是一个不错的选择。

有关WinDbg的用法,请查阅:http://kssd.pediy.com 第2篇 逆向篇/动态分析技术/调试工具/WinDbg

微软官方下载:WinDbg(32-bit) WinDbg(64-bit)
WinDbg插件   收集各类WinDbg的插件
SoftICE调试器
DriverStudio 3.21  

Compuware DriverStudio官方网站:http://www.compuware.com/ DriverStudio 3.2是迄今为止最完备的驱动开发工具套件,包含调试工具SoftICE。Compuware己停止对SoftICE更新了,因此在Windows 7或更高系统,建议用WinDBG调试Ring 0的程序。

SoftICE支持单机,用串行线连接的双机或是通过TCP/IP连接的远程计算机上的核心级和用户级的调试。

可以在虚拟机VMware 4.0以上版本使用SoftICE,使用前稍设置一下,在VMware虚拟的系统目录里,打开其中后缀名为vmx的文件,在其未端添加: svga.maxFullscreenRefreshTick = "5"

DS-SP4-patch   英文和中文的windows 2000操作系统打了sp4以后,Driver Studio3.0b2在启动siwvid的时候机器就会蓝屏。用此补丁可以解决这个问题.
IceExt 0.67
IceExt 0.70
 

WinNT/2K/XP,IceExt是SoftICE NT的一个插件,支持最新的DriverStudio 3.2. 由于Nitecdump最高只支持DS 2.7,因此再高版本的softice就可用此工具代替Nicedump了。它扩展了SoftICE在Win NT/2K/XP下的命令功能,新增DUMP命令、bpr命令、suspend命令等。

http://stenri.pisem.net/

http://sourceforge.net/project/showfiles.php?group_id=149807&package_id=165469&release_id=416109

Nmtranspath   Nmtranspath解决了DriverStudio所有版本的Symbol Loader不能中断程序入口点的问题
SoftICE 4.05 for Windows9x   Softice单独发行的最后一个版本,适合Windows 9x系统,很稳定,内附Icedump花指令去除版。
IceDump 6.026 and nticedump 1.14  

配合SOFTICE使用,可抓取内存的数据,在脱壳时很管用,并且可增强SoftICE跟踪能力,基本可不用Frogsice打补丁。

注意:最高只支持到DS2.7,所以更高版本的Softice请用IceExt来代替。

TRW2000 (Windows 9x平台)
TRW2000pll621修改版   是在娃娃TRW1.22修正版上改的,将SuperBPM工具与TRW二合一。
TRW2000 1.03 原版
TRW2000 1.03 娃娃修正版
  娃娃修正版可以有效地对付某些程序利用CreateFile("\\\\.\\TRW,.\\TRWDEBUG")检测TRW2000。
TRW2000 1.23 注册版(官方)
TRW2000 1.22 娃娃修正版
  娃娃修正版可以有效地对付某些程序利用CreateFile("\\\\.\\TRW,.\\TRWDEBUG")检测TRW2000。
trw2000插件   收集常用的TRW2000的插件
linux平台调试器
Linice 2.6   linux平台下的调试器
http://www.linice.com
调试相关工具
XIDT 2.0 + 源码 goldenegg 备份及恢复IDT的小工具,支持win2k/xp/2003。
主界面上有四个按钮:
show : 查看当前idt.
save : 存档:保存当前的idt到文件。
load : 读档:从文件中读出idt.
write: 将idt写入到系统中!
原文:http://bbs.pediy.com/showthread.php?s=&postid=76530#post76530
hwnd dRag0nMa 查看句柄,主要作用:在SICE里用bmsg hwnd xxxx时比较方便了
Fake RDTSC  

不少壳代码使用rdtsc来检测运行时间,如果在OD里调试,时间必定要延长,这样壳利用两次rdtsc时间差就可发现被调试器。如果CR4的TSD(time stamp disabled)置位,则rdtsc在ring3下运行会导致异常(特权指令),所以进入ring0,把这个标记置上,然后Hook OD的WaitForDebugEvent,拦截异常事件,当异常代码为特权指令时,把异常处的opcode读出检查,如果是rdtsc,把eip加2,SetThreadContext...(softworm解释) 。这个工具就是根据这一原理。

RDTSC 指令具体解释:
http://bbs.pediy.com/showthread.php?s=&threadid=11562

point-h   在Windows 9x下的万能断点是Hmemcpy断点,在XP系统下,也有一个类似万能断点,这个断点(暂称point-h)在每台机器里都是唯一的,在USER32.DLL.可以找到。一旦找到就可以用于C++, VB, Delphi, ASM,或者其他编程语言,只要简单的下一个断点在这个地址上即可。
详见:http://bbs.pediy.com/showthread.php?s=&threadid=9330
SuperBPM   仅工作在Win9x/Me系统。
如你跟踪过ASProtect 1.1以上的壳,就会发现常用的断点完全失效,用该工具可恢复断点功能,可配合SoftICE与TRW2000跟踪软件。
VCDebuger sailwei 主要解决VC用于破解中的以下不足。
1) 打开VC
2) 安装插件 Tools -> Customize -> Add-ins and micro files->Browse->找到这个DLL文件的位置->确定->打勾
3) 界面上出来一个新的TOOLBAR, 共4个BUTTON
4) 用VC(File->Open)打开一个EXE文件,F10/F5运行。然后就可以跟踪调试了。
5) 插件第1个BUTTON设定API断点。
6) 插件第2,3个BUTTON用于内存搜索。